4 de abril de 2017

Tudo perdido em questão de horas: Kaspersky Lab descobre sequestro relâmpago da rede digital de um banco

Malware instalado em dispositivos das vítimas tem como objetivo atingir bancos no Brasil e Argentina, além de outros países

A equipe de pesquisa em segurança da Kaspersky Lab anunciou hoje a descoberta de um ataque relâmpago e bem coordenado a um banco inteiro, que sequestrou os serviços bancários online e móveis da organização por várias horas. Os analistas da Kaspersky Lab detectaram o ataque em tempo real e conseguiram observar os movimentos do criminoso virtual durante o período de cinco horas no qual a rede digital da organização ficou sob o controle dos invasores. Estima-se que o roubo tenha afetado centenas de milhares ou até milhões de clientes em mais de 300 cidades ao redor do mundo.

De acordo com os investigadores, o ataque ocorreu em outubro de 2016, durante um fim de semana, quando a equipe de segurança normalmente está menos ativa. Para acessar a rede digital do banco, os invasores comprometeram a infraestrutura de seu provedor de serviços de DNS. Depois de assumir o controle, os criminosos virtuais redirecionaram as operações do banco para um conhecido provedor de nuvem.

tudo-perdido-em-questao-de-horas

Meses antes do incidente, os invasores geraram um certificado digital SSL legítimo em nome do banco e o utilizaram durante o ataque. Ao visitar o site sequestrado, as vítimas não receberam nenhum aviso do navegador da Web; na verdade, a conexão aparecia como sendo segura, pois o certificado usado era legítimo e a conexão com o site era criptografada.

Por um período de cerca de cinco horas, os invasores controlaram as transações de centenas de milhares ou até milhões de clientes que tentaram acessar os serviços bancários online ou no celular, usando um malware com instalação automática disfarçado como se fosse o plug-in de um conhecido software de segurança para bancos. O malware foi projetado para, depois de instalado, roubar, entre outras coisas, informações de login de bancos on-line e em dispositivos móveis, listas de contatos do Outlook e do Exchange, assim como credenciais de e-mail e FTP. Além disso, os criminosos virtuais eliminaram o software de segurança instalado nos dispositivos das vítimas com o uso de ferramentas anti-rootkit legítimas para impedir sua detecção. Nesse período, também foi realizada uma campanha de phishing voltada a determinados clientes para roubar informações de cartão de crédito. No total, foram comprometidos mais de 30 domínios pertencentes ao banco. Dentre eles, serviços de cartões de débito e crédito, terminais de PDV e outras operações financeiras.

Embora apenas as operações de um banco tenham sido afetadas, o malware instalado nos dispositivos das vítimas foi projetado para roubar dinheiro de uma lista de bancos predefinidos em todo o mundo. A maioria dos bancos visados está no Brasil, mas outros alvos encontram-se no Reino Unido, Japão, Portugal, Itália, França, China, Argentina, Estados Unidos e Ilhas Cayman.

“Esse incidente nos mostrou duas coisas. Primeiro, que os criminosos virtuais insistem em buscar novas formas de atacar os bancos e estão decididos a continuar não sendo detectados. Segundo, que a segurança de um banco não é uma estratégia estática; para realmente manter a rede segura, ela precisa evoluir e se adaptar continuamente com base na inteligência de tendências, novas ameaças e as mais recentes técnicas de segurança. Esse ataque explorou uma vulnerabilidade de terceiros – o provedor de serviços de DNS do banco. A maioria dos bancos da América Latina não utiliza servidores próprios. Na verdade, pelo menos metade dos 20 principais bancos do mundo utiliza DNSs gerenciados parcial ou integralmente por terceiros. A segurança da rede de terceiros está fora do controle dos agentes do banco, e isso é negligenciado pelos bancos. Porém, como vimos nesse caso, não pelos criminosos virtuais”, disse Dmitry Bestuzhev, diretor da Equipe de Pesquisa e Análise da Kaspersky Lab na América Latina.

Os produtos da Kaspersky Lab detectam e eliminam todas as versões desse malware:

Trojan-Downloader.Java.Agent

Trojan.BAT.Starter

not-a-virus:RiskTool.Win32.Deleter

Trojan-Spy.Win32.Agent

Os assinantes dos Relatórios de Inteligência Financeira da Kaspersky Lab têm acesso aos detalhes técnicos e aos Incidentes de Comprometimento.

Para obter mais informações, visite: http://media.kaspersky.com/en/business-security/kaspersky-intelligence-services-reports.pdf?icid=ar-ME:ent-content ou envie um e-mail para: Financialintel@kaspersky.com

Articles related to Virus